Video: Week 6 (Decembris 2024)
Izskatās, ka nesenie kiberuzbrukumi pret Dienvidkorejas bankām un televīzijas tīkliem, iespējams, nav cēlušies no Ķīnas, piektdien paziņoja valsts amatpersonas.
"Mēs bijām bezrūpīgi cenšoties veikt divkāršu un trīskāršu pārbaudi, " piektdien žurnālistiem sacīja Korejas Komunikāciju komisijas amatpersona Lī Seunga. "Tagad mēs paziņosim tikai tad, ja mūsu pierādījumi būs pārliecināti, " sacīja Lī.
20. martā Korejas televīzijas stacijas KBS, MBC un YTN, kā arī banku iestādes Jeju, NongHyup un Shinhan tika inficētas ar ļaunprātīgu programmatūru, kas noslaucīja datus no cietajiem diskiem, padarot sistēmas nederīgas. KCC jau iepriekš teica, ka ķīniešu IP adrese piekļūst atjauninājumu pārvaldības serverim NongHyup bankā, lai izplatītu ļaundabīgo programmatūru “tīrītāji”, kas sešās skartajās organizācijās izdzēsa datus no aptuveni 32 000 Windows, Unix un Linux sistēmām.
Šķiet, ka KCC nepareizi izmantoja privātu IP adresi, ko NongHyup sistēma izmanto kā ķīniešu IP adresi, jo tās bija "nejauši" vienādas, teikts Associated Press ziņojumā. Ierēdņi ir izmantojuši sistēmas cieto disku, taču šobrīd nav skaidrs, no kurienes infekcija radusies.
"Mēs joprojām izsekojam dažas apšaubāmas IP adreses, par kurām tiek turēts aizdomās, ka tās atrodas ārzemēs, " žurnālistiem sacīja Korejas Interneta un drošības aģentūras viceprezidents Lī Džei-Iels.
Attiecināt ir grūti
Neilgi pēc tam, kad KCC apgalvoja, ka uzbrukums ir cēlies no IP adreses Ķīnā, Dienvidkorejas amatpersonas apsūdzēja Ziemeļkoreju aiz šīs kampaņas. Dienvidkoreja ir apsūdzējusi savu ziemeļu kaimiņu par ķīniešu IP adrešu izmantošanu, lai iepriekšējos uzbrukumos mērķētu uz Dienvidkorejas valdības un rūpniecības vietnēm.
Tomēr tikai viena IP adrese nav pārliecinošs pierādījums, ņemot vērā, ka ir daudz citu valsts atbalstītu grupu un kibernoziedznieku bandu, kas ķīniešu serverus izmanto uzbrukumu uzsākšanai. Ir arī daudz paņēmienu, ko uzbrucēji var izmantot, lai slēptu savas aktivitātes vai liktu šķist, ka tie nāk no kādas citas vietas.
Šī KCC kļūda, kaut arī mulsinoša Dienvidkorejas valdībai, lieliski uzsver, kāpēc ir tik grūti noteikt kiberuzbrukuma izcelsmi un vainīgos. Uzbrukumu attiecināšana var būt "ārkārtīgi sarežģīta", sacīja Gartnera pētījumu direktors Lorenss Pingrijs.
Izaicinājums slēpjas faktā, ka "pretizlūkošanu var izmantot internetā, piemēram, avota IP viltošanā, izmantot starpniekserverus, izmantot robottīklus, lai veiktu uzbrukumus no citām vietām" un citām metodēm, sacīja Pingrijs. Ļaunprātīgas programmatūras izstrādātāji, piemēram, var izmantot dažādu valodu tastatūras kartes.
"Amerikāņu ķīnietis vai eiropietis, kurš saprot ķīniešu valodu, bet izstrādā to izmantošanu savai izcelsmes valstij, radīs problemātisku vai neiespējamu attiecināšanu, " sacīja Pingrijs.
Sīkāka informācija par uzbrukumu
Šķiet, ka uzbrukums tika sākts, izmantojot vairākus uzbrukuma pārnēsātājus, un varas iestādes ir uzsākušas "daudzpusēju" izmeklēšanu, lai identificētu "visus iespējamos infiltrācijas ceļus", teikts Dienvidkorejas ziņu aģentūras Yonhap ziņojumā. KCC Lī ir noraidījis iespēju, ka uzbrukumam varētu būt Dienvidkorejas izcelsme, taču atteicās sīkāk izskaidrot, kāpēc.
Vismaz viens vektors šķiet šķēpu pikšķerēšanas kampaņa, kurā bija iekļauts ļaunprātīgas programmatūras pilinātājs, atklāja Trend Micro pētnieki. Dažas Dienvidkorejas organizācijas saņēma surogātpasta ziņojumu ar ļaunprātīgu faila pielikumu. Kad lietotāji atvēra failu, ļaunprātīgā programmatūra no vairākiem URL lejupielādēja papildu ļaunprogrammatūru, ieskaitot Windows galveno sāknēšanas ierakstu tīrītāju un bash skriptus, kas mērķēti uz tīklam piestiprinātām Unix un Linux sistēmām.
Pētnieki ir identificējuši "loģikas bumbu" Windows MBR tīrītājā, kas ļaundabīgo programmatūru uzturēja miega režīmā līdz 20. martam pulksten 14:00. Noteiktajā laikā ļaunprogrammatūra aktivizēja un izpildīja savu ļaunprātīgo kodu. Banku un televīzijas staciju ziņojumi apstiprina, ka traucējumi šajā dienā sākās ap plkst.
Kopš piektdienas Jeju un Shinhan bankas bija atjaunojušas savus tīklus, un NongHyup joprojām turpināja darboties, taču visas trīs atkal bija tiešsaistē un darbojās. Televīzijas stacijas KBS, MBC un YTN bija atjaunojušas tikai 10 procentus no savām sistēmām, un pilnīga atkopšana varētu ilgt nedēļas. Tomēr stacijas sacīja, ka to apraides iespējas nekad nav ietekmētas, sacīja KCC.
